Условный доступ Azure не применяется к запросам на получение токена?

Question

В MS Azure условный доступ применяется к сценариям, когда вы приобретаете токен доступа к приложению программно / неинтерактивно (например, с помощью ADAL или вручную через конечную точку токена)?

У меня есть веб-приложение в Azure с настроенной аутентификацией Azure AD / Easy Auth и примененной / ориентированной на приложение политикой условного доступа.

При попытке интерактивного доступа к веб-приложению в браузере политика условного доступа применяется, как и ожидалось.

Когда я пытаюсь получить токен доступа для того же приложения с использованием принципала службы программно / неинтерактивно (предоставление / поток учетных данных клиента), политика условного доступа, нацеленная на приложение, похоже, не применяется, и я могу получить токены из любого местоположение, а также использовать их из любого места.

Я не вижу связанных параметров в условном доступе в Azure, которые бы обеспечивали применение политик к конкретным сценариям / потокам грантов или просто к интерактивным процессам.

Что заставляет меня спросить, знает ли кто-нибудь, применяются ли политики Условного доступа к таким грантам / потокам, которые выполняются неинтерактивно?

Answer 1

Я не вижу связанных настроек в условном доступе в Azure который обеспечит применение политики к конкретному гранту сценарии / потоки или просто интерактивные процессы.

Ты прав. Он может работать только для аутентификации пользовательского интерфейса. Хотя это не может быть четко указано в документации.

Во-первых, условный доступ имеет некоторые требования:

Вы можете использовать условный доступ Azure AD для защиты облачных приложений, когда происходит попытка аутентификации:

• Веб-браузер

• Клиентское приложение, использующее современную аутентификацию

• Exchange ActiveSync

Клиентское приложение, которое использует современную аутентификацию: оно основано на ADAL . Таким образом, он также должен войти в систему.